Decomission Exchange Hybrid and move to Cloud Only (Part 1)
Hallo zusammen,
Es ist langsam an der Zeit, meine lokale Infrastruktur aufzugeben und auf CloudOnly zu wechseln.
Zurzeit habe ich ein Active Directory Forest mit AAD Connect (AADSync) und einem Exchange 2016 in Hybrid Konfiguration. Alle wichtigen Mailboxen wurden bereits nach Exchange Online migriert.
Das Szenario wird hier beschrieben und geht nur wenn:
- kein AAD Connect (AAD Sync) mehr benötigt wird
- kein ADFS Server mehr eingesetzt wird
- Keine Public Folders eingesetzt werden
- Der lokale Exchange Server deinstalliert wird
Außerbetriebnahme und Abschaltzeitpunkt Ihrer lokalen Exchange-Server in einer Hybrid-Umgebung
https://docs.microsoft.com/de-de/exchange/decommission-on-premises-exchange?redirectedfrom=MSDN
Das ist ein weitreichender Entscheid und muss gut überlegt sein!
Das Ziel besteht also darin, die Active Directory Domäne zu deinstallieren. Das geht nur, wenn alle Applikationen in der Domäne wegmigriert sind, welche Abhängigkeiten zu Active Directory oder dem Emailverkehr haben. Oft wird ja der Exchange OnPrem noch für Applikationen oder Geräte (Netzwerkgeräte, Printer) genutzt, welche noch irgendwelche Mails versenden müssen.
Als erstes schaue ich mir den Active Directory Tenant an. Alle Domains sind Managed, das heisst, es wird kein ADFS Server mehr eingesetzt. Falls ihr noch einen ADFS Server einsetzt:
M365 Convert Federated Domain to Managed Domain
https://blog.icewolf.ch/archive/2020/08/28/m365-convert-federated-domain-to-managed-domain.aspx
Decommission ADFS Server
http://blog.icewolf.ch/archive/2021/05/20/decommission-adfs-server.aspx
Nun schaue ich mir einen Benutzer an. Wie man sieht ist dieser Benutzer über AAD Connect vom lokalen Active Directory synchronisiert.
Get-AzureADUser -SearchString hans.muster@serveralive.ch | fl DisplayName, UserPrincipalname, Mail, SipProxyAddress, ObjectId, OnPremisesSecurityIdentifier,DirSyncEnabled,LastDirSyncTime
Auch die Mailbox hat ein Property, welches anzeigt, dass die Mailbox von einem synchronisierten Account stammt.
Get-Mailbox -Identity hans.muster | fl Name, DisplayName, UserPrincipalName, PrimarySMTPAddress, IsDirsynced
Nun muss auf dem lokalen Exchange geprüft werden ob Public Folders vorhanden sind, oder die Konfiguration auf Remote steht.
Get-OrganizationConfig | Format-List PublicFoldersEnabled
Public Folder setze ich auch keine mehr ein. Das kann mit folgendem Command überprüft werden.
Get-PublicFolder
Auf dem lokalen Exchange muss nun der Service Connection Point (SCP) fürs Autodiscover entfernt werden.
Get-ClientAccessService | Set-ClientAccessService -AutoDiscoverServiceInternalUri $Null
Nochmals prüfen ob alle DNS Records auf Exchange Online zeigen. Das geht am besten im M365 Admin Portal
In Exchange Online werden die beiden Hybrid Connectoren von und nach Exchange Online gelöscht.
In Exchange Online wird das Organization Sharing gelöscht
Auf dem lokalen Exchange wird der IntraOrganizationConnector deaktiviert
Auch in Exchange Online muss der IntraOrganizationConnector deaktiviert werden
Deaktivieren vom AAD Sync
Nun kommt die eigentliche Abschaltung vom AAD Sync. Dafür benötigt man das MSOnline Modul. Ich habe kein entsprechendes Comandlet im AzureAD Modul gefunden.
Import-Module MSOnline
Connect-MsolService
Set-MsolDirSyncEnabled -EnableDirSync $false
Im M365 Admin Portal wechselt der Status vom "Directory Sync" innerhalb der nächsten 30 Minuten auf "Off"
Danach verschwindet auch der Menüpunkt "Directory sync status" aus der Navigation
Die Seite lässt sich jedoch über die URL immer noch aufrufen: https://admin.microsoft.com/adminportal/home#/dirsyncmanagement
Ein bisschen verwirrend ist hier, dass "Password sync" immer noch als "On" angezeigt wird
Auch nach mehreren Stunden erscheinen die Accounts immer noch als synchronisiert.
Allerdings kann man bereits die Emailadresse eines "synchronisierten" Benutzers verändern. Das geht normalerweise bei einem synchronisierten Account nicht, weil da die Emailadresse im lokalen Active Directory gepflegt werden muss und anschliessend über den AAD connect nach Azure AD synchronisiert wird.
Es hat zwischen 12 und 24 Stunden gedauert, bis die DirSync Attribute im Azure AD verschwunden sind.
Im Azure Active Directory Portal sieht man unter dem Menü "Azure AD Connect", dass AAD Connect nicht installiert ist und noch nie gelaufen ist. Auch hier wird der Password Hash Sync noch angezeigt. Ein Fehler im GUI würde ich meinen. Allenfalls könnte man das vermeiden, wenn man den Password Hash Sync vor dem deaktivieren vom ADSync deaktiviert.
Ich habe AAD Connect Health konfiguriert. Schauen wir uns das auch noch an
Unter Sync services sieht man einen unhealthy state
Der AAD Connect Server kann hier im Portal ebenfalls gelöscht werden.
Deinstallation AAD Connect
Nun kann auf dem Sync Server die AAD Connect Services gestoppt werden
- Microsoft Azure AD Sync
- Azure AD Connect Health Sync Insights Service
- Azure AD Connect Health Sync Monitoring Service
Nun erfolgt die Deinstallation vom AAD connect
Nun erfolgt keine Synchronisation zwischen Active Directory und Azure Active Directory mehr.
Exchange Hybrid ist ebenfalls aufgehoben. Als nächstes muss noch die lokale Exchange Infrastruktur deinstalliert werden, das wird dann in Part 2 beschrieben.
